Waledac-Kampagne zum 4. Juli

Waledac-Website
Bild 1 von 1

Waledac-Website

 

Die Betreiber des Waledac-Botnet versuchen offenbar wieder ihre Basis zu verbreitern. Eine neue Mail-Kampagne benutzt den US-amerikanischen Unabhängigkeitstag als Köder, verheißt Videos vom Feuerwerk.

Nachdem es in den letzten Wochen um das Waledac-Botnet sehr ruhig war, haben dessen Betreiber am 3. Juli eine neue Spam-Kampagne gestartet. Wie schon der so genannte Sturm-Wurm vor einem Jahr nutzt dessen Nachfolger Waledac den Unabhängigkeitstag der USA am 4. Juli als Lockmittel. Die Mails versprechen ein Youtube-Video mit Bildern vom zu diesem Anlass veranstalteten Feuerwerk. Die verlinkten Websites liefern jedoch Malware aus.

Der Betreff dieser Mails enthält folglich Elemente wie zum Beispiel "Independence Day" "4th of July" und "Fireworks". Sie werden von Zombie-Rechnern des Waledac-Botnet verschickt. Mehr als zwei Dutzend neu registrierte Domains, deren Namen zum Teil Elemente wie "fireworks", "holiday", "movie" oder "video" kombinieren, verweisen auf Web-Server, die ebenfalls auf Rechnern des Waledac-Botnet laufen. Auch die Name-Server laufen auf solchen Zombie-PCs und lenken Web-Aufrufe in schnellem Wechsel auf verschiedene Botnet-Rechner.

Die Websites sehen alle gleich und enthalten einen Text, der behauptet, das auf der Seite erhältliche Video zeige ein prämiertes Feuerwerk. Das vermeintliche Vorschaufenster des Videos ist ein statisches GIF-Bild, das mit einem Link unterlegt ist. Das Anklicken dieses Bilds startet den Download einer über 600 KB großen EXE-Datei mit wechselnden Dateinamen wie etwa "run", "install" oder "fireworks".

Bei dieser EXE-Datei handelt es sich um eine Kopie der Waledac-Malware. Die Erkennung des Schädlings durch Antivirusprogramme wird dadurch erschwert, dass wie üblich in regelmäßigen Intervallen neue Variationen der Dateien erzeugt werden. Die folgende Tabelle gibt zudem nur die Erkennung mit Hilfe von Signaturen wieder. So manche Security-Suite enthält jedoch erweiterte Detektionstechniken, die auch unbekannte Schädlinge abfangen können.


Quelle: AV-Test, Stand: 06.07.2009, 14:00 Uhr

Antivirus Malware-Name
AntiVir Worm/Iksmas.cqu
Authentium ---
Avast ---
AVG FakeAlert.LG (Trojan horse)
Bitdefender ---
CA-AV ---
ClamAV ---
Dr Web ---
Eset Nod32 ---
Fortinet ---
F-Prot ---
F-Secure 2009 Trojan:W32/Waledac.gen!J
F-Secure 2010 Trojan:W32/Waledac.gen!J
G-Data AVK 2008 Email-Worm.Win32.Iksmas.cqu
G-Data AVK 2009 ---
Ikarus Email-Worm.Win32.Iksmas
ISS VPS ---
K7 Computing ---
Kaspersky Email-Worm.Win32.Iksmas.cqu
McAfee W32/Waledac.gen.n
McAfee Artemis W32/Waledac.gen.n
McAfee GW Edition Worm.Iksmas.cqu
Microsoft Trojan:Win32/Waledac.gen!A [generic]
Norman ---
Panda ---
Panda (Online) Trj/CI.A
QuickHeal ---
Rising AV ---
Sophos Mal/WaledPak-H
Spybot S&D ---
Sunbelt ---
Symantec ---
Trend Micro ---
VBA32 ---
VirusBuster ---
Quelle: Copyright (C)2008 www.pcwelt.de
Kommentare
Top-Themen
Das Wochenende steht vor der Tür und in den WhatsApp-Status muss ein passender Spruch? Hier sind unsere Ideen, um das ...mehr
Der Nachfolger von Windows 10 aus dem Jahr 2015 steht vor der Tür. Wir haben uns die wichtigsten Änderungen im ...mehr
Jährlich zwei Milliarden Euro zusätzliche Umsätze: Das erhofft sich Infineon von seinem neuen Halbleiterwerk in Villach.mehr
Anzeige
gekennzeichnet mit
JUSPROG e.V. - Jugendschutz
freenet ist Mitglied im JUSPROG e.V.